Por que é importante em matéria de segurança

A segurança da informação

treinamentoJohn Harrison de SAINT (Security Alliance para a Internet e NovasTechnologies) tem um novo olhar sobre algumas das questões em relação à formaçãosegurança e fornece aconselhamento e uma visão sobre o que uma organização pode fazer para tratar eficazmente as suas necessidades em matéria de segurança.

Por que o treinamento de segurança é importante?Isto pode soar como uma pergunta óbvia, mas é importante olhar para o que os problemas em matéria de segurança é susceptível de resolver de forma eficaz. O treinamento é uma "questão povo" - uma vez mais, uma afirmação óbvia, mas muitas vezes nós negligenciamos o óbvio. O SANS Institute realizou uma pesquisa em 1999, entre 1.850 especialistas em segurança informática e gestores para identificar os sete erros de gestão de topo que levam a vulnerabilidades de segurança do computador . No topo desta lista eles descobriram que a gestão de 'atribuir pessoas não treinadas para manter a segurança e não prover nem treinamento nem o tempo para torná-lo possível para fazer o trabalho ". As coisas mudaram desde 1999, assim que nós devemos fazer melhor do que este - ou somos nós? Para que você possa julgar, visite o site do Instituto SANS no www.sans.org / newlook / recursos, onde todos os sete erros são listados, e pergunte-se: fazer qualquer destas situações se aplica à minha organização? A primeira mensagem-chave, que é tão verdadeiro hoje como era em 1999, é que o treinamento de segurança da informação deve envolver todos, e vão muito além das necessidades do departamento de TI. Mais perto de casa e, mais recentemente, o DTI patrocinou a Violações da Segurança Survey2002 (www.security-survey.gov.uk), que indicou que a segurança da informação nunca foi uma prioridade mais alta em nível de diretoria (73 por cento contra 53 por cento em 2000), mas relativamente poucas empresas estão a traduzir esta prioridade em efetivo ação. A pesquisa passou a revelar o nível de sub-investimento em segurança de TI, com apenas 27 por cento das empresas britânicas investindo mais de um por cento do seu orçamento de TI em medidas de segurança, enquanto o benchmark mundial é de três a cinco por cento . Talvez o resultado mais significativo é que apenas 27 por cento das empresas do Reino Unido tem uma política de segurança, que é um aspecto fundamental da segurança da informação boa. O levantamento inclui conselhos sobre as dez principais ações para o conselho, com o primeiro item com marcadores de ser a ' Verifique se o seu negócio cria uma cultura de segurança, educando a consciência pessoal sobre os riscos de segurança e as suas responsabilidades ». Este é um outro endosso para o treinamento de segurança e consciência.

Segurança de formação e sensibilização para a segurança - o que é o diferença?

Quem deve ser treinado, como e que eles devem ser treinados em? As respostas para o 'quem', 'como' e 'o que' questões dependerá do indivíduo e das necessidades do seu negócio, mas os seguintes pontos são relevantes.

Quem precisa ser treinado?Não é simplista dizer que todos em uma organização, em algum momento ou outro, deve receber algum tipo de treinamento em segurança da informação. Em algumas organizações, não é incomum para todos os funcionários a ter um item relacionado à segurança em sua descrição do trabalho e, eventualmente, ter específicas relevantes objetivos pessoais. Eu sei de uma organização, onde mais de 80.000 funcionários tinham um objetivo de uma formação de segurança, que, por razões logísticas e de custos foi entregue por uma combinação de vídeo e um computador interativo curso de base, que foi apreciado e discutido em sua avaliação anual. O conselho É, portanto, para examinar a sua própria estrutura organizativa e de rever a formação necessidades de segurança de cada função dentro da empresa. Para garantir a relevância, é importante entender o aspecto 'o que' de formação, que é discutido posteriormente.

Como deve ser realizado o treinamento?Um exemplo de como conduzir o treinamento já foi dada, onde o ensino à distância foi utilizada de forma eficaz. Os cursos de formação também são muito eficazes, tanto externa como internamente, e em alguns dos mais formação técnica é importante para fornecer as mãos sobre as instalações de treinamento. Vendedor Há muitos cursos de formação específica técnicos e empresas de consultoria podem ser empregadas para cursos ministrados em quase qualquer aspecto de segurança da informação. Em alguns casos, os fornecedores fornecem road shows onde eles oferecem treinamento gratuito em diversas localidades ao redor do país, com vista a desmistificar os aspectos de segurança dos seus produtos e, conseqüentemente, ajudando a construir a confiança neles. Auto-ajuda formação é facilitada por os inúmeros sites que oferecem orientações de segurança, muitos dos quais são descritos e relacionados com o site Saint no www.intellectuk.org / santo.

Um bom exemplo de auto-ajuda, orientações, escrito em Inglês simples e principalmente para o mercado de PME, são as AEB orientações de segurança na web, que podem ser encontrados em publicações www.intellectuk.org/ / business_guidance_papers / web_sec_guidelines.pdf. Estas orientações são complementares à norma ISO / IEC 17799 e fornecer um quadro para o desenvolvimento e implementação de medidas de segurança eficazes para gerir os riscos de segurança que podem afetar um site e e-processos de negócio. Outro bom exemplo é o guia da E.U. National Cyber Security Alliance, que pode ser encontrado em www.staysafeonline.info, novamente fornecendo orientações em linguagem simples para o ciber-cidadão e empresa de pequeno porte. Como este treinamento é gerenciado é outra consideração importante, e um bom veículo para isso seria dentro da Investors in People norma geral, sendo adotado por muitas organizações. Mais informações sobre este padrão de qualidade pode ser encontrada em www.iipuk.co.uk.

Que formação é necessária?

Que estrutura de formação seria o mais eficaz em

a longo prazo?Esta secção propõe que uma estrutura eficaz para o treinamento de segurança deve ser um que é baseado em nove princípios estabelecidos nas diretrizes da OCDE. Essas orientações indicam que: "Todos os participantes serão ajudados por sensibilização, educação, partilha de informação e formação que pode levar à adoção de uma melhor compreensão e práticas de segurança." As orientações da OCDE não são detalhados no presente artigo, por isso é recomendado que o seguinte seção é, em conjugação com as orientações (os nove princípios são claros e concisos, sendo descrita em três páginas).

Princípio 1 - SensibilizaçãoA necessidade de sensibilização para a segurança já foi descrita em alguns detalhes dentro das seções de abertura do presente documento. As orientações expandir sobre a importância da consciência do risco como a primeira linha de defesa das pessoas e compreender as conseqüências decorrentes do abuso de sistemas de informação e redes. Chovendo, por conseguinte, garantir que as pessoas em todos os papéis compreender claramente esses riscos, e que eles precisam fazer para mitigá-los.

Princípio 2 - ResponsabilidadeEsta tem sido abordado anteriormente, em termos de relevância, incluindo a da segurança da informação no âmbito dos objectivos pessoais de um indivíduo e descrição do trabalho. As orientações promover boas práticas de gestão em termos de garantir que os indivíduos estão conscientes das suas responsabilidades e são responsáveis. A formação deve ser fornecida para ajudar a assegurar que as pessoas têm as habilidades e os conhecimentos necessários para o desempenho desta responsabilidade.

Princípio 3 - RespostaReconhece-se que os incidentes de segurança irá ocorrer e que é importante para responder a eles em uma maneira cooperativa e oportuna. Isto levanta um ponto importante em termos de cooperação, porque idealmente formação teria necessidade de informar sobre desgraças dos outros - isto é, aprender com os erros de outras pessoas. No entanto, a partilha de informação é reconhecida como sendo difícil, devido à potencial perda de reputação decorrentes do risco de mídia insensível relatórios. Formação deve tentar incluir o conteúdo de informações compartilhadas sobre temas sensíveis, como incidentes. A introdução de Partilha de Informação e Análise de Centros (ISACs) em os E.U. é uma tentativa de fazer isso (veja https: / / sector www.it-isac.org) como um exemplo dentro da TI.

Princípio 4 - ÉticaIsto é fundamental para mudar a cultura em termos de tornar as pessoas reconhecem que a sua acção ou inacção pode prejudicar os outros. Em os E.U., segurança da informação está a ser ensinadas no ensino a fim de mudar a percepção de que 'hacking é legal'. As organizações também estão promovendo códigos éticos de conduta e do Institute of Directors (IOD), em particular, tenham publicado um código de ética relativas à segurança da informação. A formação deve ser prevista em códigos como estes e entregue a todas as pessoas em uma organização. Um bom lugar para começar é o treinamento de indução.

Princípio 5 - DemocraciaIsso muitas vezes pode ser dado como certo no Reino Unido, mas aborda a necessidade de segurança da informação para ser compatível com os valores essenciais de uma sociedade democrática. Um aspecto desta respeito à privacidade eo direito de um estado para aceder a informação sobre um indivíduo. Duas peças de legislação do Reino Unido que se referem a este aspecto é o Data Protection Act de 1998 eo Regulamento de Investigatory Powers Act 2000. A formação deve ser fornecida para ajudar as pessoas a entender a legislação pertinente, tanto em termos dos seus direitos eo que é ilegal.

Princípio 6 - A avaliação de riscosOs participantes são incentivados a realizar avaliações de risco nesta secção das orientações. Risco é um termo usado por muitos, mas, indiscutivelmente, entendida por poucos. Por exemplo, qual é a diferença entre a avaliação e gestão de riscos, e como você realizá-los? A formação deve ser dada em risco e como se relaciona com o papel do indivíduo dentro da organização. Eu diria que este é um tema fundamental e que precisa ser ensinado a todos os níveis e para todas as funções dentro de uma organização, porque é uma força motriz para uma cultura de segurança consciente.

Princípio 7 - Segurança concepção e execuçãoEu diria que este é um dos princípios mais fundamentais das orientações da OCDE, onde se afirma que os sistemas, redes e políticas precisam ser adequadamente concebidas, implementadas e coordenadas para optimizar a segurança. Acredito firmemente que esta oferece uma das maiores oportunidades de melhoria que este princípio é muitas vezes negligenciada - evidenciado pela pesquisa de segurança DTI, que dizia: 'No entanto, apenas 14 por cento das empresas do Reino Unido (32 por cento das grandes empresas) sempre como documento requisitos de segurança estão sendo abordados noprojeto projetos de TI e 25 por cento (8 por cento das grandes empresas) nunca fazer 'Training. devem ser apresentados na forma de segurança podem ser projetadas em redes e sistemas informáticos, bem como sobre a aplicação e mantê-los em uma maneira segura. Fornecedores e utilizadores devem ensinar seus funcionários como fazê-lo, e os clientes devem ensinar seus funcionários como para adquirir sistemas e serviços que serão seguras.

Princípio 8 - Gestão de SegurançaSegundo as orientações que os participantes devem adotar uma abordagem abrangente da gestão de segurança. O candidato óbvio em que isso pode ser baseada é a BS 7799 código de boas práticas para a gestão de segurança da informação, que é discutido brevemente no início deste artigo e em outras partes deste artigo. A formação deve ser prevista no contexto da estrutura e abordagem para uma boa informação gestão de segurança conforme descrito em BS 7799 Part 1 (ISO / IEC 17799:2000).

Princípio 9 - ReavaliaçãoIsto está relacionado com a transição do estádio de 4 a 1 no ciclo de aprendizagem descrito anteriormente, o que nos lembra que a nova evolução das ameaças e vulnerabilidades são continuamente descobertas, alertando a necessidade de rever continuamente as contramedidas adequadas. Treinamento de segurança devem, portanto, não ser um evento único para qualquer indivíduo, mas deve ser fornecido de forma contínua para atender as necessidades do ambiente em mudança. Isto também se aplica a sensibilização para a segurança, pois é importante para continuamente a reforçar a necessidade de uma boa prática de segurança. Caso contrário, existe um risco de complacência, sobretudo se não ocorrer incidentes significativos.

Conclusão

um artigo submetido por Frank C.

Isenção de responsabilidade:O nosso site não se responsabiliza pelo conteúdo deste artigo. Webarticles é uma fonte de informação livre.
Importante: Este artigo "Por que é importante em matéria de segurança" foi traduzida por um software automático. Nós sentimos muito por quaisquer erros de ortografia que pode ter ocorrido. Obrigado pela sua compreensão.